(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN111079158A(43)申请公布日2020.04.28(21)申请号201911151124.9(22)申请日2019.11.21(71)申请人支付宝（杭州）信息技术有限公司地址310000浙江省杭州市西湖区西溪路556号8层B段801-11(72)发明人余超凡王磊黄群山张宁周爱辉(74)专利代理机构北京亿腾知识产权代理事务所(普通合伙)11309代理人陈霁周良玉(51)Int.Cl.G06F21/60(2013.01)G06F21/62(2013.01)G06F21/45(2013.01)权利要求书3页说明书10页附图3页(54)发明名称数据存储和读取的方法及装置(57)摘要本说明书实施例提供了一种数据存储和读取的方法和装置。根据数据存储方法，可信计算集群中任意的第一可信计算节点可以利用第一可信计算节点的硬件标识生成第一对称密钥，使用第一对称密钥加密待持久化数据，得到第一加密数据，例如，待持久化数据可以为第一可信计算节点中的隐私数据；使用集群公钥加密第一对称密钥，得到第二加密数据，将第一加密数据和第二加密数据对应地存储至数据存储平台。CN111079158ACN111079158A权利要求书1/3页1.一种数据存储方法，通过可信计算集群中任意的第一可信计算节点执行，所述方法包括：利用所述第一可信计算节点的硬件标识生成第一对称密钥；使用所述第一对称密钥加密待持久化数据，得到第一加密数据；使用集群公钥加密所述第一对称密钥，得到第二加密数据；其中，所述可信计算集群中的所有可信计算节点共有所述集群公钥和对应的集群私钥，所述集群私钥，用于解密使用所述集群公钥加密后的数据；将所述第一加密数据和所述第二加密数据对应地存储至数据存储平台。2.根据权利要求1所述的方法，所述利用所述第一可信计算节点的硬件标识生成第一对称密钥的步骤，包括：当存在所述待持久化数据时，利用所述第一计算节点的硬件标识和预设生成规则，生成与所述待持久化数据对应的第一对称密钥。3.根据权利要求1所述的方法，所述数据存储平台包括分布式文件系统HDFS、对象存储服务OSS和MySQL数据库中的至少一个。4.根据权利要求1所述的方法，还包括，采用以下方式确定集群公钥和对应的集群私钥：在预设数据范围内随机生成待选公钥和对应的私钥；将节点密钥信息发送至协调器；其中，所述节点密钥信息包括：所述待选公钥和所述第一可信计算节点中运行的计算任务的代码哈希；获取所述协调器发送的针对选定的集群公钥的指示信息；其中，所述指示信息为所述协调器根据各个可信计算节点发送的节点密钥信息而确定；利用所述指示信息确定集群公钥和对应的集群私钥。5.根据权利要求4所述的方法，所述利用所述指示信息确定集群公钥和对应的集群私钥的步骤，包括：当所述指示信息指示所述第一可信计算节点的节点密钥信息中的待选公钥为集群公钥时，将所述第一可信计算节点的待选公钥和对应的私钥确定为集群公钥和对应的集群私钥；当所述指示信息指示其他可信计算节点的节点密钥信息中的待选公钥为集群公钥时，从所述其他可信计算节点中获取集群公钥和对应的集群私钥。6.根据权利要求5所述的方法，所述从所述其他可信计算节点中获取集群公钥和对应的集群私钥的步骤，包括：与所述其他可信计算节点进行远程RA认证，并建立RA通道；通过所述RA通道，从所述其他可信计算节点获取所述集群公钥和对应的集群私钥。7.一种数据读取方法，通过可信计算集群中任意的第二可信计算节点执行，所述方法包括：当需要获取已持久化数据时，从数据存储平台获取第三加密数据和对应的第四加密数据；其中，所述第三加密数据为使用第二对称密钥加密所述已持久化数据后的加密数据，所述第四加密数据为使用集群公钥加密所述第二对称密钥后得到的加密数据，所述可信计算集群中的所有可信计算节点共有所述集群公钥和对应的集群私钥，所述集群私钥用于解密2CN111079158A权利要求书2/3页使用所述集群公钥加密后的数据；使用所述集群私钥解密所述第四加密数据，得到所述第二对称密钥；使用所述第二对称密钥解密所述第三加密数据，得到所述已持久化数据。8.根据权利要求7所述的方法，其中，所述第二对称密钥为利用所述可信计算集群中的其他可信计算节点的硬件标识生成。9.一种数据存储装置，部署在可信计算集群中任意的第一可信计算节点中，所述装置包括：生成单元，配置为利用所述第一可信计算节点的硬件标识生成第一对称密钥；第一加密单元，配置为使用所述第一对称密钥加密待持久化数据，得到第一加密数据；第二加密单元，配置为使用集群公钥加密所述第一对称密钥，得到第二加密数据；其中，所述可信计算集群中的所有可信计算节点共有所述集群公钥和对应的集群私钥，所述集群私钥，用于解密使用所述集群公钥加